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34 388 Regels over het verwerken van gegevens ter 

bevordering van de veiligheid en de integriteit 
van elektronische informatiesystemen die van 
vitaal belang zijn voor de Nederlandse 
samenleving en regels over het melden van 
ernstige inbreuken (Wet gegevensverwerking en 
meldplicht cybersecurity) 

Nr. 2 VOORSTEL VAN WET 

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, 

Prins van Oranje-Nassau, enz. enz. enz. 

Allen, die deze zullen zien of horen lezen, saluut! doen te weten: 

Alzo Wij in overweging genomen hebben, dat het wenselijk is om regels 
te stellen over het verwerken van gegevens ter bevordering van de 
veiligheid en de integriteit van elektronische informatiesystemen die van 
vitaal belang zijn voor de Nederlandse samenleving en over het melden 
van ernstige inbreuken op die informatiesystemen; 

Zo is het, dat Wij, de Afdeling advisering van de Raad van State 
gehoord, en met gemeen overleg der Staten-Generaal, hebben goedge¬ 
vonden en verstaan, gelijk Wij goedvinden en verstaan bij deze: 

§ 7. Algemeen 

Artikel 1 

In deze wet en de daarop gebaseerde bepalingen wordt verstaan onder: 

- aanbieder: overheidsorganisatie of privaatrechtelijke rechtspersoon 
die een product of dienst exploiteert, beheert of beschikbaar stelt; 

- vitale aanbieder: aanbieder van een product of dienst waarvan de 
beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de 
Nederlandse samenleving; 

- informatiesysteem: geheel of gedeeltelijk met elektronische middelen 
bestuurd systeem waarvan een product of dienst afhankelijk is; 

- Onze Minister: Onze Minister van Veiligheid en Justitie; 

- persoonsgegevens, verwerking van persoonsgegevens, onderschei¬ 
denlijk verantwoordelijke: hetgeen daaronder wordt verstaan in artikel 1 
van de Wet bescherming persoonsgegevens. 
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Artikel 2 


1. Onze Minister heeft, ter voorkoming of beperking van het uitvallen 
van de beschikbaarheid of het verlies van integriteit van informatiesys¬ 
temen van vitale aanbieders, en van andere aanbieders die onderdeel zijn 
van de rijksoverheid, en ter verdere versterking van de digitale 
weerbaarheid van de Nederlandse samenleving, de volgende taken: 

a. het bijstaan van deze aanbieders bij het treffen van maatregelen om 
de beschikbaarheid en betrouwbaarheid van hun producten of diensten te 
waarborgen ofte herstellen; 

b. het informeren en adviseren van deze aanbieders en anderen in en 
buiten Nederland over dreigingen en incidenten met betrekking tot de in 
de aanhef bedoelde informatiesystemen; 

c. het verrichten van analyses en technisch onderzoek ten behoeve van 
de onder a en b genoemde taken, naar aanleiding van de onder b 
bedoelde dreigingen en incidenten of aanwijzingen daarvoor, niet zijnde 
onderzoek naar personen of organisaties die voor die dreigingen of 
incidenten verantwoordelijk zijn of die daar anderszins aan bijdragen of 
hebben bijgedragen. 

2. Voorts heeft Onze Minister, ter voorkoming van nadelige maatschap¬ 
pelijke gevolgen, tot taak: het verstrekken van ingevolge het eerste lid, 
onderdeel c, verkregen gegevens over dreigingen en incidenten met 
betrekking tot andere informatiesystemen dan bedoeld in de aanhef van 
het eerste lid aan: 

a. organisaties die objectief kenbaar tot taak hebben om andere 
organisaties of het publiek daarover te informeren; 

b. computercrisisteams, aangewezen bij regeling van Onze Minister of 
behorend tot een bij die regeling aangewezen categorie; 

c. aanbieders van internettoegangs- en internetcommunicatiediensten 
ten behoeve van het informeren van gebruikers van die diensten. 

Artikel 3 

Ten behoeve van de in artikel 2 genoemde doeleinden en taken worden 
gegevens verwerkt, waaronder persoonsgegevens. Onze Minister is 
verantwoordelijke voor deze verwerking. 

Artikel 4 

1. Onze Minister kan een rechtspersoon of een orgaan daarvan 
verzoeken om gegevens te verstrekken die noodzakelijk zijn voor de 
vervulling van de in artikel 2, eerste lid, genoemde taken. 

2. Artikel 9, eerste lid, van de Wet bescherming persoonsgegevens is 
niet van toepassing op het verstrekken van persoonsgegevens aan Onze 
Minister ingevolge een verzoek als bedoeld in het eerste lid. 

5 2. Meldplicht 

Artikel 5 

De artikelen 6 tot en met 8 zijn slechts van toepassing op vitale 
aanbieders die zijn aangewezen bij algemene maatregel van bestuur of 
behoren tot een daarbij omschreven categorie, voor wat betreft de 
producten of diensten die bij die maatregel zijn aangewezen of behoren 
tot een daarbij omschreven categorie. 
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Artikel 6 


1. De vitale aanbieder geeft Onze Minister onverwijld kennis van een 
inbreuk op de veiligheid of een verlies van integriteit van zijn informatie¬ 
systeem waardoor de beschikbaarheid of betrouwbaarheid van een 
product of dienst in belangrijke mate wordt of kan worden onderbroken. 

2. De kennisgeving omvat in ieder geval: 

a. de aard en omvang van de inbreuk of het verlies; 

b. het vermoedelijke tijdstip van de aanvang van de inbreuk of het 
verlies; 

c. de mogelijke gevolgen van de inbreuk of het verlies; 

d. een prognose van de hersteltijd; 

e. zo mogelijk, de door de vitale aanbieder genomen of te nemen 
maatregelen om de gevolgen van de inbreuk of het verlies te beperken of 
herhaling hiervan te voorkomen; 

f. de contactgegevens van de functionaris die verantwoordelijk is voor 
het doen van de kennisgeving. 

Artikel 7 

Desgevraagd verstrekt de vitale aanbieder die een kennisgeving als 
bedoeld in artikel 6 heeft gedaan, Onze Minister onverwijld alle overige 
gegevens die noodzakelijk zijn om: 

a. de vitale aanbieder bij te staan bij het treffen van maatregelen om de 
beschikbaarheid en betrouwbaarheid van het product of de dienst te 
waarborgen ofte herstellen; 

b. de risico's in te schatten voor de informatiesystemen, bedoeld in 
artikel 2, eerste lid, aanhef. 

Artikel 8 

Bij of krachtens algemene maatregel van bestuur kunnen nadere regels 
worden gesteld over de artikelen 6 en 7, waaronder regels over: 

a. de gegevens die ter uitvoering van artikel 6 worden verstrekt; 

b. de wijze waarop een kennisgeving als bedoeld in artikel 6 wordt 
gedaan en waarop gegevens als bedoeld in artikel 7 worden verstrekt. 

5 3. Verstrekking van vertrouwelijke gegevens 

Artikel 9 

1. Ter uitvoering van de in artikel 2 genoemde taken verstrekt Onze 
Minister geen vertrouwelijke gegevens met betrekking tot een aanbieder 
indien: 

a. de geheimhouding van die gegevens onvoldoende is gewaarborgd, 
of 

b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor 
het doel waarvoor zij worden verstrekt. 

2. Ter uitvoering van de in artikel 2 genoemde taken kan Onze Minister 
vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder, 
zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is 
voor het bevorderen van maatregelen ter voorkoming of beperking van 
een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin 
worden uitsluitend gegevens verstrekt aan: 

a. computercrisisteams, aangewezen bij regeling van Onze Minister of 
behorend tot een bij die regeling aangewezen categorie; 

b. de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de 
inlichtingen- en veiligheidsdiensten 2002. 
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3. Indien een vitale aanbieder, of een andere aanbieder die onderdeel is 
van de rijksoverheid, onvoldoende gevolg geeft aan een door Onze 
Minister gegeven advies, kan Onze Minister in het advies opgenomen 
gegevens als bedoeld in het tweede lid verstrekken aan Onze betrokken 
Minister. 

4. Voor zover dat noodzakelijk is om ernstige maatschappelijke 
gevolgen te voorkomen of te beperken: 

a. verstrekt Onze Minister onverwijld gegevens als bedoeld in het 
tweede lid aan Onze betrokken Minister; 

b. kan Onze Minister, na raadpleging van de betrokken aanbieder, 
gegevens als bedoeld in het tweede lid verstrekken aan andere organi¬ 
saties of over die gegevens mededelingen doen aan het publiek. 

5. Het eerste lid geldt niet voor de in het vierde lid, onder b, bedoelde 
mededelingen aan het publiek. 

6 . De Wet openbaarheid van bestuur is niet van toepassing op gegevens 
als bedoeld in het tweede lid, behalve voor zover die gegevens milieu- 
informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. 

§ 4. Slotbepalingen 

Artikel 10 

De artikelen van deze wet treden in werking op een bij koninklijk besluit 
te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen 
daarvan verschillend kan worden vastgesteld. 

Artikel 11 

Deze wet wordt aangehaald als: Wet gegevensverwerking en meldplicht 
cybersecurity. 


Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en 
dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks 
aangaat, aan de nauwkeurige uitvoering de hand zullen houden. 

Gegeven 


De Staatssecretaris van Veiligheid en Justitie, 
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